thuyết trình web service security

thuyết trình web service security

WEB SERVICE SERCURITY GVHD : Nguyễn Văn Hoàng

Lời mở đầu

• Từ trước công nguyên con người đã phải quan tâm tới việc làm thế n

ào để đảm bảo an toàn bí mật cho các tài liệu, văn bản quan trọng, đặc biệt là trong lĩnh vực quân sự, ngoại giao

• Ngày nay với sự xuất hiện của máy tính, các tài liệu văn bản, giấy tờ v

à các thông tin quan trọng đều được số hóa và xử lý trên máy tính

• Từ những ngày đầu của Internet, người ta đã quan tâm đến tính an toàn trong trao đổi thông tin M c dù, không có sự an toàn tuy t đối, nhặc dù, không có sự an toàn tuyệt đối, nh ệt đối, nhưng những phát triển trong lĩnh vực này thì rất nhanh và mang lại nhiều thành quả vì đây là vấn đề cấp bách của nhiều doanh nghi p.ệt đối, nh

 Có thể nói ngày nay ngoài việc nghiên cứu làm sao để tạo ra một we

b services tốt mang lại nhiều lợi ích thì việc nghiên cứu để làm sao man

g lại sự an toàn cho web services cũng là m t trong những vấn đề quan ột trong những vấn đề quan trọng nhất

Nội dung

I Web Service

• Theo định nghĩa của W3C (World

Wide Web Consortium), Web ser

vice là một hệ thống phần mềm

được thiết kế để hỗ trợ khả năng

tương tác giữa các ứng dụng trê

n các máy tính khác nhau thông

qua mạng Internet, giao diện chu

ng và sự gắn kết của nó được mô

tả bằng XML

• Web service là một tập các phươ

ng thức được thực hiện thông q

ua một phương thức URL và đượ

c sử dụng để tạo các ứng dụng p

hân tán

Định nghĩa Web service

Đặc điểm của web service

Đặc điểm

• Không phụ thuộc vào ngôn ngữ lập trình, truy cập bất kỳ ứng dụng nào

• Hỗ trợ thao tác giữa các thành phần không đồng nhất, chi phí phát triển thấp và dễ bảo trì

• Không phụ thuộc vào ngôn ngữ lập trình, truy cập bất kỳ ứng dụng nào

• Hỗ trợ thao tác giữa các thành phần không đồng nhất, chi phí phát triển thấp và dễ bảo trì

Ưu điểm

• Có khả năng ứng dụng rộng trên các nền tảng, giao thức và định dang dữ liệu dựa trên vân bản nên dễ dàng hiểu, nâng cao khả năng tái sử dụng

• Tạo mới quan hệ tương tác giúp cho việc phát triển dễ dàng

• Thúc đẩy hệ thống tích hợp, giảm sự phức tạp của hệ thống, hạ giá thành hoạt động, phát triển hệ thống nhanh và tương tác hiệu quả với

hệ thống của các doanh nghiệp khác,…

• Có khả năng ứng dụng rộng trên các nền tảng, giao thức và định dang dữ liệu dựa trên vân bản nên dễ dàng hiểu, nâng cao khả năng tái sử dụng

• Tạo mới quan hệ tương tác giúp cho việc phát triển dễ dàng

• Thúc đẩy hệ thống tích hợp, giảm sự phức tạp của hệ thống, hạ giá thành hoạt động, phát triển hệ thống nhanh và tương tác hiệu quả với

hệ thống của các doanh nghiệp khác,…

Nhược điểm

• Những thiệt hại lớn sẽ xảy ra vào khoảng thời gian chết của Web service, giao diện không thay đổi, có thể lỗi nếu một máy khách không được nâng cấp, thiếu các giao thức cho việc vận hành.

• Có quá nhiều chuẩn cho Web service khiến người dùng khó nắm bắt., cần đến vấn đề an toàn và bảo mật

• Những thiệt hại lớn sẽ xảy ra vào khoảng thời gian chết của Web service, giao diện không thay đổi, có thể lỗi nếu một máy khách không được nâng cấp, thiếu các giao thức cho việc vận hành.

• Có quá nhiều chuẩn cho Web service khiến người dùng khó nắm bắt., cần đến vấn đề an toàn và bảo mật

Cấu trúc tổng quan của Web service

Là giao thức thay đổi

các thông điệp dựa trên

Định nghĩa cách mô tả Web service theo cú pháp tổng quát của XML.

WSDL thường được sử dụng kết hợp với XML schema và SOAP để cung cấp Web service qua Internet

Integration - Tích hợp, khám phá và mô tả đa năng.

Định nghĩa một số thành phần cho biết các thông tin này, cho phép các client truy tìm và nhận những thông tin được yêu cầu khi sử dụng Web service.

Cấu trúc tổng quan của Web service

• Web Services là một cách chuẩn để tích hợp các ứng dụng t rên nền web (Web-based applications)

• Các ứng dụng có thể sử dụng các thành phần khác nhau để tạo thành một dịch vụ, Các thành phần này được gọi bởi ph ương thức SOAP (Khác phương thức POST, GET) nên không

bị gặp phải firewall khi truy xuất các thành phần bên ngoài máy chủ

Quy trình xây dựng Web service

• Để xây dựng một web service , chúng ta

cần thực hiện các bước sau:

Bước 1 : Định nghĩa và xây dựng các chức n

ăng , các dịch vụ mà servive sẽ cung cấp

(sử dụng ngôn ngữ Java chẳng hạn).

Bước 2 : Tạo WSDL cho service

Bước 3 : Xây dựng SOAP server cho service

Bước 4 : Đăng ký WSDL với UDDI registry để

cho phép các client có thể tìm thấy và tr

uy xuất.

Bước 5 : Client nhận file WSDL và từ đó xây

dựng SOAP client để có thể kết nối với S

OAP server

Bước 6 : Xây dựng ứng dụng phía client (ch

ẳng hạn sử dụng Java) và sau đó gọi thự

c hiện service thông qua việc kết nối tới

SOAP server.

Mục đích của Web service

• Ngày nay Web service đang rất ph

át triển, những lĩnh vực trong cuộ

c sống có thể áp dụng và tích hợp

Web service là khá rộng lớn như

dịch vụ chọn lọc và phân loại tin t

ức (hệ thống thư viện có kết nối đ

ến web portal để tìm kiếm các th

ông tin cần thiết);

• ứng dụng cho các dịch vụ du lịch

(cung cấp giá vé, thông tin về địa

điểm…), các đại lý bán hàng qua

mạng, thông tin thương mại như

giá cả, tỷ giá hối đoái, đấu giá qua

mạng…hay dịch vụ giao dịch trực

tuyến (cho cả B2B và B2C) như đặ

t vé máy bay, thông tin thuê xe…

Vấn đề về mặt bảo mật trên thông tin

• Trải qua nhiều thế kỷ, hàng loạt các giao thức và cơ c

hế đã được tạo ra nhằm đáp ứng nhu cầu an toàn và bảo mật thông tin An toàn thông tin đã thay đổi rất nhiều trong thời gian gần đây Trước kia hầu như chỉ

có nhu cầu bảo mật thông tin, nay đòi hỏi thêm nhiề

u yêu cầu mới như an ninh máy chủ và trên mạng.

• Đối với mỗi hệ thống thông tin mối

đe dọa và hậu quả tiềm ẩn là rất lớn

Đối với mỗi hệ thống thông tin mối đe dọa và hậu quả tiềm ẩn là r

ất lớn, nó có thể xuất phát từ những nguyên nhân như sau:

• Từ phía người sử dụng: xâm nhập bất hợp pháp, ăn cắp tài sản có giá trị.

• Trong kiến trúc hệ thống thông tin: tổ chức hệ thống kỹ thuật không có cấu trúc h oặc không đủ mạnh để bảo vệ thông tin.

• Ngay trong chính sách bảo mật an toàn thông tin: không chấp hành các chuẩn an t oàn, không xác định rõ các quyền trong vận hành hệ thống.

• Thông tin trong hệ thống máy tính cũng sẽ dễ bị xâm nhập nếu không có công cụ quản lý, kiểm tra và điều khiển hệ thống.

• Nguy cơ nằm ngay trong cấu trúc phần cứng của các thiết bị tin học và trong phần mềm hệ thống và ứng dụng do hãng sản xuất cài sẵn các loại ‘rệp’ điện tử theo ý

đồ định trước, gọi là ‘bom điện tử’.

• Nguy hiểm nhất đối với mạng máy tính mở là tin tặc, từ phía bọn tội phạm.

Tất nhiên, mục tiêu của bảo mật không chỉ nằm gói gọn trong lĩnh vực bảo vệ thô

ng tin mà còn nhiều phạm trù khác như kiểm duyệt web, bảo mật internet, bảo m

ật http, bảo mật trên các hệ thống thanh toán điện tử và giao dịch trực tuyến….

An toàn cho Web service

1 An toàn cho Web service:

• Từ những ngày đầu của Internet, người ta đã quan tâm đến tí

nh an toàn trong trao đổi thông tin.M c dù, không có sự an toàn ặc dù, không có sự an toàn tuyệt đối, nh tuy t đối, nhưng những phát triển trong lĩnh vực này thì rất nha ệt đối, nh

nh và mang lại nhiều thành quả vì đây là vấn đề cấp bách của nhi

ều doanh nghi p Không có m t mức an toàn thích hợp, sự khai ệt đối, nh ột trong những vấn đề quan thác thương mại của Internet thì không hoàn toàn an toàn

• Gần đây, các dịch vụ web đã thu hút được ngày càng nhiều m

ối quan tâm chung từ phía cộng đồng Dịch vụ Web liên kết và tư ơng tác với các ứng dụng qua Internet, chính vì vậy bảo mật là m

ột vấn đề được quan tâm khi các công ty tiến tới kết hợp ứng dụ

ng với một dịch vụ Web

Định nghĩa web service Security

• WS-Security là một chuẩn an toàn bao trùm cho SOAP và cả những phần mở rộng của SOAP, nó được dùng khi muốn xâ

y dựng những web service toàn vẹn và tin cậy Nó được thi

ết kế mang tính mở nhằm có thể hướng tới những mô hình

an toàn khác bao gồm PKI, Kerberos, và SSL

• WS security cung cấp nhiều hỗ trợ cho nhiều cơ chế an toà

n khác nhau, nhiều khuôn dạng chữ ký, và nhiều công ngh ệt đối, nh

mã hóa Nó đảm bảo cho tính an toàn, sự toàn vẹn thông điệp, và tính tin cậy của thông điệp

• ws security chỉ là một lớp trong nhiều lớp của một giải phá

p an toàn web service

Chứng thực trong một ứng dụng

•Cung cấp m t dấu ột trong những vấn đề quan

hi u an toàn trong ệt đối, nh

tập tin mô tả

•Chỉ rõ m t ột trong những vấn đề quan

callback handler

trong tập tin mô tả

•Cung cấp m t dấu ột trong những vấn đề quan

hi u an toàn trong ệt đối, nh

tập tin mô tả

•Chỉ rõ m t ột trong những vấn đề quan

callback handler

trong tập tin mô tả

•Để cấu hình server an toàn cần có m t dấu ột trong những vấn đề quan

hi u an toàn hợp l ệt đối, nh ệt đối, nh

•Chỉ rõ m t callback ột trong những vấn đề quan handler để đọc dấu

hi u an toàn trong yêu ệt đối, nh cầu và sau đó xác nhận nó.

•Để cấu hình server an toàn cần có m t dấu ột trong những vấn đề quan

hi u an toàn hợp l ệt đối, nh ệt đối, nh

•Chỉ rõ m t callback ột trong những vấn đề quan handler để đọc dấu

hi u an toàn trong yêu ệt đối, nh cầu và sau đó xác nhận nó.

Phía client Phía Server

Những bước cần thiết để tạo sự an toàn thô

ng tin trong một ứng dụng

client và server phải có tính toàn vẹn thông tin

•Chỉ rõ những thành phần

của message mà phải có

chữ ký hay một dấu hiệu

chứng thực nào đó

•Chỉ rõ m t khóa trên h ột trong những vấn đề quan ệt đối, nh

thống t p tin mà sẽ ký lên ập tin mà sẽ ký lên

message

•Chỉ rõ những giải thu t sẽ ập tin mà sẽ ký lên

được sử dụng bởi khóa để

ký lên message

•phải được cấu hình để làm

cho có hi u lực tính toàn ệt đối, nh

vẹn của message phản hồi.

•Chỉ rõ những thành phần

của message mà phải có

chữ ký hay một dấu hiệu

chứng thực nào đó

•Chỉ rõ m t khóa trên h ột trong những vấn đề quan ệt đối, nh

thống t p tin mà sẽ ký lên ập tin mà sẽ ký lên

message

•Chỉ rõ những giải thu t sẽ ập tin mà sẽ ký lên

được sử dụng bởi khóa để

ký lên message

•phải được cấu hình để làm

cho có hi u lực tính toàn ệt đối, nh

vẹn của message phản hồi.

•Chỉ rõ những thành phần của message cần được ký

•Chỉ rõ m t khóa để duyệt ột trong những vấn đề quan chữ ký của message đến xem có hợp lệ hay không.

•Chỉ rõ giải thu t mà khóa ập tin mà sẽ ký lên

sử dụng làm cho có hi u ệt đối, nh lực tínḥ toàn vẹn của message gửi đến.

•cung cấp thông tin chữ ký trong message phản hồi

•Chỉ rõ những thành phần của message cần được ký

•Chỉ rõ m t khóa để duyệt ột trong những vấn đề quan chữ ký của message đến xem có hợp lệ hay không.

•Chỉ rõ giải thu t mà khóa ập tin mà sẽ ký lên

sử dụng làm cho có hi u ệt đối, nh lực tínḥ toàn vẹn của message gửi đến.

•cung cấp thông tin chữ ký trong message phản hồi

Phía client Phía Server

Các hình thức đảm bảo an ninh dịch vụ web

Bảo đảm an ninh ở mức truyền tải

• Là cơ chế an ninh điểm tới điểm (P

oint to Point), dùng cho việc nhận

dạng và xác thực các bên, bảo đả

m tính tòan vẹn và bảo mật của th

ông điệp

• HTTP là giao thức không an tòan,

dữ liệu được truyền đi ở dạng Text

nên dễ bị lộ

• Kỹ thuật HTTPS cho phép xác thực

máy chủ, máy chủ phải xuất trình c

hứng thực cho trình khách để trìn

h khách nhận dạng máy chủ

 Thực tế người ta thường dùng xác

thực cơ sở HTTP kết hợp với HTTP

S

Bảo đảm an ninh ở mức thông điệp

• Là cách tiếp cận là tất cả thông tin liên quan tới an ninh đều được gó

i kín trong SOAP

• Bảo đảm an ninh ở mức thông đi

ệp đòi hỏi sự bảo vệ bằng thẻ bài tên người dùng, mật mã XML và chữ ký số

• Đặc tả bảo đảm an ninh dịch vụ Web (WS-Security) cung cấp an ni

nh ở mức thông điệp

 Thường được kết hợp với bảo đả

m an ninh ở mức truỳên tải

Những thành phần mở rộng của web servic

e security

• web service security chỉ là m

ột lớp trong nhiều lớp của m

ột giải pháp an toàn web ser

vice đầy đủ, nên cần m t m ột trong những vấn đề quan

ô hình an toàn chung lớn hơ

n để có thể bao phủ tất cả cá

c khía cạnh an toàn khác

• Trong mô hình này các thành

phần quan trọng bao gồm:

Những thành phần mở rộng của web servic

e security

• WS-SecureConversation Describes: ch

o phép quản lý và xác nh n message ập tin mà sẽ ký lên

trao đổi giữa các phần, bao gồm sự tr

ao đổi ngữ cảnh an toàn , thiết l p , ập tin mà sẽ ký lên

dẫn xuất ra những session

• WS-Authentication Describes: cho ph

ép quản lý những dữ li u cần chứng tệt đối, nh

hực và chính sách chứng thực

• WS-Policy Describes: cho phép quản l

ý những ràng bu c của những chính ột trong những vấn đề quan

sách an toàn ở các điểm trung gian v

à đầu cuối

• WS-Trust Describes: khung cho phép

những web service an toàn trao đổi ,

tương tác với nhau

M t chuẩn an toàn chung cho các hệ thống giao dịc ột trong những vấn đề quan

h trên mạng thường phải tập trung vào

• Identification: định danh được những ai truy cập tài nguyên hệ thống

• Authentication: chứng thực tư cách truy cập tài nguyên của người muốn s

ử dụng

• Authorization: cho phép giao dịch khi đã xác nhận định danh người truy cập

• Integrity: toàn vẹn thông tin trên đường truyền

• Confidentiality: độ an toàn, không ai có thể đọc thông tin trên đư ờng đi

• Auditing: kiểm tra, tất cả các giao dịch đều được lưu lại để kiểm tra

• Non-repudiation: độ mềm dẻo, cho phép chứng thực hợp tính hợp pháp h

óa của thông tin đến từ một phía thứ ba ngoài 2 phía là người gửi và ngườ

i nhận

 Những yêu cầu trên giúp cho hệ thống an toàn hơn , tránh được ph

ần nào những truy cập không hợp lệ

M t chuẩn an toàn chung cho các hệ thống giao dịch ột trong những vấn đề quan

trên mạng thường phải tập trung vào

 HTTP – HyperText Transfer Protocol là giao thức thường sử dụng nhất cho việc trao đổi thông tin trên Internet ,tuy nhiên lại là m t giao thức không an ột trong những vấn đề quan toàn, bởi vì tất cả thông tin đ ược gửi dưới dạng văn bản trong mạng ngang hàng không an toàn

 M t phát triển của HTTP là HTTPS, nó là một chuẩn an toàn cho HTTP , HTTột trong những vấn đề quan

PS cho phép chứng thực client và server qua những chứng thực giữa client

và server

 HTTPS cung cấp sự an toàn tới toàn b gói dữ li u HTTP.ột trong những vấn đề quan ệt đối, nh

 M c dù HTTPS không bao phủ tất cả các khía cạnh trong chuẩn an toàn chuặc dù, không có sự an toàn tuyệt đối, nh

ng, nhưng nó cũng đã cung cấp m t mức bảo chứng đầy đủ với định danh ột trong những vấn đề quan

và chứng thực , sự toàn vẹn thông điệp, và độ tin cậy

 Tuy nhiên, authentication, auditing, and non-repudiation chưa được cung c

ấp Bên cạnh đó , HTTPS là một giao thức nên khi thông điệp đi qua HTTP server thì lại không an toàn

KẾT LUẬN

• Ngày nay công nghệ web services đã và đang được triển khai và ứng dụng trong rất nhiều lĩnh vực khác nhau bao gồm cả những lĩnh vực nhạy cảm , đòi hỏi tính an toàn cao như tài chính , ngân hàng ,…do đó web service cầ

n cung cấp m t mức an toàn đủ để hỗ trợ những công việc như thế.ột trong những vấn đề quan

• sử sụng ws security và các thành phần của nó giúp cho thông tin trao đổi trên web services trở nên an toàn hơn , tuy nhiên việc chọn cơ chế an toàn cho web service phải đòi hỏi sao cho người dùng không cảm thấy qúa phứ

c tạp tạo một sự gò bó

• Đó việc chọn cơ chế an toàn nào trong ws security thì phụ thuộc nhiều và

o loại service và những tính năng mà servive này cung cấp

• Bên cạnh đó còn một điểm cần quan tâm đó là sự an toàn không chỉ phụ t

hu c vào những giải thu t, những tiêu chuẩn, và những cơ chế mà ws secột trong những vấn đề quan ập tin mà sẽ ký lên urity mang lại , mà nó còn tùy vào thái độ của các công ty có hiểu rõ tầm quan trọng của an toàn thông tin khi triển khai các ứng dụng , giao dịch trê

n mạng hay không cũng rất cần thiết